torsdag 12 november 2009

SDLC på GE

General Electric (GE) finns inom sjuk- och hälsovård, infrastruktur, bank och mycket mer. De har en enorm mängd applikationer och kunder. För ett par år sedan beslutade man att införa en Security Development Lifecycle (SDLC) och Darren Challey har drivit projektet de senaste 2,5 åren.

Ändra kulturen
När Darren fick SDLC-jobbet så fick han en post-it-lapp av sin företrädare med orden Culture Change. Att införa SLDC handlar om att ändra kulturen kring mjukvaruutveckling. Och chefer förstår att kulturförändring är ett stort och svårt ingrepp.

Kommunikation avgörande
För att lyckas så måste du satsa på kommunikation. Identifiera nyckelpersoner (informella ledare, doers och de-med-budget) och se till att de är informerade.

AppSec-programmet på GE
På GE beslutade man sig tidigt för att fokusera på applikationssäkerheten hos externa mjukvaruleverantörer. På det viset kunde man jämföra dem och se vilka aktiviteter som betydde något.

Men det innebar också att det var tredjepartsleverantörer som faktiskt implementerade GEs SDLC, GE själva definierade vad leverantörerna skulle göra och vilka riktlinjer de skulle följa. Först vid acceptanstester så gör GE en ordentlig genomgång med säkerhetstester för att mäta kvaliteten på mjukvaran.

Alla tredjepartsleverantörer får skriva under på att arbeta med tre områden:

1. Riktlinjer
Man sätter upp en arbetsgrupp som träffas varannan vecka för att diskutera applikationssäkerhet. De är ansvariga för implementation av riktlinjer för säker kod, sårbarhetshantering, säker driftsättning och liknande.

2. Utbildning
GE erbjuder tre nivåer på utbildning och flervalsprov för utvecklare.
- Intro till applikationssäkerhet, 60 min
- Best practices för säker utveckling, 90 min
- Attackmönster & motmedel 120, min
- Flervalsprov på nätet med hundratals frågor. Utvecklarna förväntas ta provet regelbundet och får slumpmässiga frågor under en avgränsad tid, t ex en timme.

3. Verktyg
Darren höjde ett varnande finger för att fokusera för mycket och för tidigt på verktyg. GE utvärderade hur som helst de två bästa verktygen för statisk kodanalys och de två bästa verktygen för black-box-testning och kunde konstatera att verktygen hittade ca en tredjedel av de fel som manuella tester hittade.

Mät och publicera
Det är GE själva som genomför testerna och de publicerar sina leveratörers resultat i form av antal funna brister (hög, medel, låg). Det skapar en tävling mellan leverantörer och ger GEs inköpare något att pressa leverantörerna med. Efter att de har publicerat resultaten så blir Darren alltid uppringd och får höra allehanda ursäkter :). Men som han själv uttryckte det "What gets measured gets done".

GE Center of Excellence
GE har ett eget Center of Excellence (COE) med testare som granskar mjukvaruleveranser. Tillsammans med ett säkerhetsföretag har de tagit fram interna utbildningar för testare/granskare och har också ett internt karriärsprogram (junior till senior granskare i tre steg) vilket var viktigt för att få duktiga människor att satsa.

COE kan sen avropas internt inom GE och har fått goda omdömen av projekt och verksamheter. Deras granskningar gör skillnad.

Ser en förbättring
Men blir det bättre då? Ja, i snitt har antalet högrisk-sårbarheter per granskning gått ner substantiellt de senaste tre åren. Det blir bättre. Men man hamnar på platåer där utvecklingen står still ett halvår och för att få ner antalet säkerhetshål ytterligare så måste man vässa riktlinjer, utbilning och uppföljande granskning.


Inga kommentarer: